金管局推新10招加強電子銀行保安　望明年3月全落實

為加強電子銀行保安，使銀行有效抵擋騙徒從電子渠道騙取客戶存款的手法，金管局參考外國經驗，推出新一輪共10項措施，重點加強可疑活動或交易監測、身份認證及客戶通知，主要措施包括動態詐騙監測機制、突擊及額外身份認證、可疑或異常活動通知、暫停電子銀行帳戶、降低預設跨境轉帳限額，及限制帳戶同時登入。金管局銀行監理助理總裁陳景宏表示，今日（31日）推出相關指引後，由於涉及銀行系統改動，料需時4至5個月，希望明年3月能夠全面落實。

僅發現零星電子銀行帳戶被操控騙案

陳景宏表示，根據警方數字顯示，儘管在今年上半年，涉及本地電子銀行帳戶被操控的騙案只有零星個案，但金管局留意到不少海外地區的相關騙案，均有所增加（如英國、新加坡、日本），而且詐騙手法越趨高明。

他舉例，有騙徒編寫針對Android作業系統的惡意程式，透過社交平台賣廣告或假的Google Play Store網頁，裝扮成遊戲、電影或購物優惠的應用程式，誘騙公眾以連結或二維碼方式下載，安裝後便能記錄客戶輸入的電子銀行密碼，以及讀取一次性短訊密碼，但客戶卻難以發現。

據現行電子銀行指引，其實已有防範惡意程式的要求，例如銀行在提供電子銀行服務前，須檢查客戶的手機安全情況，如是否為已「越獄」的手機或有否被安裝惡意程式的跡象，若有關裝置並不安全，便不應提供相關服務。此外，如銀行的流動應用程式有提供流動保安編碼器等重要功能，更須進一步加強防範惡意程式的保安措施，如檢查手機屏幕有否被惡意程式錄影等。

要求銀行進行突擊及額外身份認證

陳景宏表示，在加強監測可疑交易及額外身份證認證方面，要求銀行設立動態詐騙監測機制，更全面考慮客戶以往的交易模式及數據，迅速辨識可疑的帳戶活動。銀行並會突擊及額外身份認證，當發現客戶的帳戶有異常活動或可疑的高風險交易，要求客戶進行突擊身份認證，或在雙重認證外多加一重認證，確認帳戶並非由他人操作。

在提升客戶監控能力方面，除高風險交易外，銀行也應通知客戶其帳戶的異常活動，如地點變更、新裝置綁定或登入等。同時，客戶可透過專屬熱線電話或電子銀行平台即時暫停帳戶。銀行也應根據風險評估，降低客戶跨境轉帳的預設限額，並禁止同一時間多於一個裝置登入電子銀行帳戶。

降低客戶跨境轉帳的預設限額

陳景宏表示，新措施針對常見和新的騙案手法，進一步保障客戶，例如騙徒操控了客戶帳戶後，會有些可疑活動，如從海外以另一手機同時登入，或會將資金轉至海外戶口，因此新措施要求銀行比對客戶以往的數據加強監測，從而辨識和通知客戶這些可疑活動，作出突擊或額外認證，並禁止不同裝置同時登入，確保帳戶並非由騙徒操控，以及降低客戶跨境轉帳的預設限額。

在減低損失方面，加強客戶監控異常活動的能力，並有便捷的渠道暫停銀行帳戶，令未授權轉賬交易更易被發現，更難被執行。同時，客戶可透過24小時渠道，報告異常交易並獲得支援。